-
09/04/2020
-
93
-
600 bài viết
Backdoor độc hại mới trong máy chủ VMware ESXi chiếm quyền điều khiển máy ảo
Tin tặc đã tìm ra một mánh khóe mới để tạo chỗ đứng trong các trình giám sát máy ảo VMware ESXi, từ đó kiểm soát các máy chủ vCenter và máy ảo Windows, Linux mà không bị phát hiện.
Nhờ sự tiếp tay của gói cài đặt vSphere độc hại, kẻ tấn công có thể cài đặt trên trình giám sát máy ảo (Hypervisor) 2 backdoor VirtualPita và VirtualPie.
Các nhà nghiên cứu cũng phát hiện ra một mẫu phần mềm độc hại VirtualGate, trong đó có chứa một dropper và một payload.
Các nhà nghiên cứu tại Mandiant phát hiện hacker tình nghi liên quan đến Trung Quốc đã sử dụng Gói cài đặt vSphere độc hại (vSphere Installation Bundle - VIB) để lây nhiễm phần mềm độc hại VirtualPita và VirtualPie.
VIB là một gói tệp để tạo hoặc duy trì hình ảnh ESXi. Nó cho phép quản trị viên quản lý cách hoạt động của cài đặt ESXi bằng cách tạo các tác vụ khởi động, quy tắc tường lửa hoặc chạy mã nhị phân khi máy khởi động lại.
Gói VIB bao gồm:
Trong quá trình điều tra, Mandiant phát hiện nhóm tấn công UNC3886 đã sửa đổi mức độ chấp thuận trong bộ mô tả XML cho VBI (sử dụng trong cuộc tấn công) từ “community” thành “partner” để đánh lừa.
Mức độ uy tín đã sửa đổi không đủ để hệ thống ESXi chấp nhận theo mặc định nhưng kẻ tấn công vẫn sử dụng cờ '--force' để cài đặt các VIB độc hại.
Với mánh khóe này, kẻ xấu có thể cài đặt phần mềm độc hại VirtualPita và VirtualPie trên máy ESXi bị xâm nhập.
Cuộc tấn công yêu cầu kẻ xấu có đặc quyền cấp quản trị viên đối với trình giám sát máy ảo. Nghe có vẻ ít rủi ro, nhưng kẻ xấu vẫn thường ẩn nấp trên mạng để chờ cơ hội tiếp cận nạn nhân.
Nhờ sự tiếp tay của gói cài đặt vSphere độc hại, kẻ tấn công có thể cài đặt trên trình giám sát máy ảo (Hypervisor) 2 backdoor VirtualPita và VirtualPie.
Các nhà nghiên cứu cũng phát hiện ra một mẫu phần mềm độc hại VirtualGate, trong đó có chứa một dropper và một payload.
Các nhà nghiên cứu tại Mandiant phát hiện hacker tình nghi liên quan đến Trung Quốc đã sử dụng Gói cài đặt vSphere độc hại (vSphere Installation Bundle - VIB) để lây nhiễm phần mềm độc hại VirtualPita và VirtualPie.
VIB là một gói tệp để tạo hoặc duy trì hình ảnh ESXi. Nó cho phép quản trị viên quản lý cách hoạt động của cài đặt ESXi bằng cách tạo các tác vụ khởi động, quy tắc tường lửa hoặc chạy mã nhị phân khi máy khởi động lại.
Gói VIB bao gồm:
- Một kho lưu trữ, thường được gọi là payload được cài đặt trên máy chủ.
- Một bộ mô tả XML với thông tin về các yêu cầu của VIB
- Tệp chữ ký xác minh người tạo VIB và mức độ uy tín liên quan
Trong quá trình điều tra, Mandiant phát hiện nhóm tấn công UNC3886 đã sửa đổi mức độ chấp thuận trong bộ mô tả XML cho VBI (sử dụng trong cuộc tấn công) từ “community” thành “partner” để đánh lừa.
Mức độ uy tín đã sửa đổi không đủ để hệ thống ESXi chấp nhận theo mặc định nhưng kẻ tấn công vẫn sử dụng cờ '--force' để cài đặt các VIB độc hại.
Với mánh khóe này, kẻ xấu có thể cài đặt phần mềm độc hại VirtualPita và VirtualPie trên máy ESXi bị xâm nhập.
Cuộc tấn công yêu cầu kẻ xấu có đặc quyền cấp quản trị viên đối với trình giám sát máy ảo. Nghe có vẻ ít rủi ro, nhưng kẻ xấu vẫn thường ẩn nấp trên mạng để chờ cơ hội tiếp cận nạn nhân.
Theo BleepingComputer